JP2000004221A - Data communication system and its controlling method - Google Patents
Data communication system and its controlling methodInfo
- Publication number
- JP2000004221A JP2000004221A JP10168792A JP16879298A JP2000004221A JP 2000004221 A JP2000004221 A JP 2000004221A JP 10168792 A JP10168792 A JP 10168792A JP 16879298 A JP16879298 A JP 16879298A JP 2000004221 A JP2000004221 A JP 2000004221A
- Authority
- JP
- Japan
- Prior art keywords
- session key
- generated
- data
- data communication
- message
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Abstract
Description
【0001】[0001]
【発明の属する技術分野】この発明は、例えば、ホスト
装置と複数のICカードとの間で遂行されるトランザク
ション時に用いるデータ通信システムに係り、特に、セ
ッションキーを用いるデータ通信システム及びその制御
方法に関する。BACKGROUND OF THE INVENTION 1. Field of the Invention The present invention relates to a data communication system used at the time of a transaction executed between a host device and a plurality of IC cards, and more particularly to a data communication system using a session key and a control method thereof. .
【0002】[0002]
【従来の技術】従来、ホストと端末等からなるデータ通
信システムにおいて、データ通信を行なう場合、送信さ
れるデータのセキュリティを高めるために、データを所
定のキーデータ(セッションキーデータ)を用いて暗号
化して送信する手法を用いてデータ通信を行うようにし
ている。2. Description of the Related Art Conventionally, when performing data communication in a data communication system including a host and a terminal, the data is encrypted using predetermined key data (session key data) in order to enhance the security of the transmitted data. Data communication is performed by using a technique of transmitting the data.
【0003】近年では、更に、セキュリティを高めるた
めに、データを暗号化するために使用されるセッション
キーデータをも暗号化して送信する手法を用いてデータ
通信を行うようにすることが考えられている。[0003] In recent years, in order to further enhance security, it has been considered that data communication is performed by using a technique of encrypting and transmitting session key data used for encrypting data. I have.
【0004】このうち、セッションキーの運用として、
前回使用されたセッションキーと今回使用するセッショ
ンキーデータを異ならせて利用することが考えられる。
また、一般的に、複数の装置間でデータを授受する場
合、その安全性及び正当性を保証するために、伝送メッ
セージの暗号化及び認証コードを付加することが考えら
れている。[0004] Among them, the operation of the session key is as follows.
It is conceivable to use the session key used last time and the session key data used this time differently.
In general, when data is exchanged between a plurality of devices, it is considered that a transmission message is encrypted and an authentication code is added in order to guarantee its security and validity.
【0005】この場合に使用される暗号用のキーデータ
を上述したようにしてその都度異ならせることにより、
不正者による正当者への成りすましを防止する手法が採
用される。[0005] By making the key data for encryption used in this case different each time as described above,
A method of preventing impersonation of a legitimate person by improper person is adopted.
【0006】この場合、データを授受する両装置がその
キーデータの変換手法をあらかじめ知っていなければな
らない。このため、例えば、変換手法が変更された場合
には、両装置とも、変更を加えなければならない。[0006] In this case, both devices that exchange data must know in advance how to convert the key data. Therefore, for example, when the conversion method is changed, both devices must be changed.
【0007】[0007]
【発明が解決しようとする課題】上述したように、複数
の装置間でデータを授受する場合、その安全性及び正当
性を保証するために、伝送メッセージの暗号化及び認証
コードを付加する際に、使用される暗号用のキーデータ
をその都度異ならせることにより、不正者による正当者
への成りすましを防止する手法が採用される。As described above, when data is transmitted and received between a plurality of devices, in order to guarantee the security and validity of the data, when encrypting the transmission message and adding an authentication code, In addition, a method is employed in which the encryption key data to be used is made different each time to prevent an unauthorized person from impersonating a legitimate person.
【0008】しかるに、この場合、データを授受する両
装置がそのキーデータの変換手法をあらかじめ知ってい
なければならないので、成りすましを防止するために、
変換手法が変更された場合には、両装置とも変更を加え
なければならなくなり、システム全体としての負担が大
きいという問題があった。However, in this case, since both devices that transmit and receive data must know in advance how to convert the key data, in order to prevent spoofing,
When the conversion method is changed, both devices have to be changed, and there is a problem that the load on the entire system is large.
【0009】そこで、本発明は以上のような点に鑑みて
なされたもので、セッションキーを第1の装置のみで生
成してそれを第2の装置に通知するようにし、このとき
セッションキーの生成には第2の装置より読み出したデ
ータを使用すると共に、次のセッションキーを読み出し
データとは異なるデータで生成し、このデータと共に新
規セッションキーを第2の装置に設定するようにするこ
とにより、システム全体としての負担を軽減することが
できるようにしたデータ通信システム装置及びその制御
方法を提供することを目的としている。Therefore, the present invention has been made in view of the above points, and a session key is generated only by a first device and is notified to a second device. The data read from the second device is used for generation, and the next session key is generated with data different from the read data, and a new session key is set in the second device together with this data. It is an object of the present invention to provide a data communication system device and a control method thereof, which can reduce the burden on the entire system.
【0010】[0010]
【課題を解決するための手段】本発明によると、上記課
題を解決するために、 (1) 第1の装置と第2の装置との間でセッションキ
ーを用いてデータの通信を行うデータ通信システムにお
いて、前記第2の装置より読み出したデータを使用して
今回のセッションキーを前記第1の装置側のみで生成す
ると共に、この生成された今回のセッションキーに基づ
いて前記第2の装置と通信する第1の手段と、この第1
の手段による通信の終了時に、前記第2の装置より読み
出したデータとは異なる可変データで次回のセッション
キーを前記第1の装置側のみで生成すると共に、この可
変データと生成された次回のセッションキーを前記第2
の装置に設定する第2の手段と、を具備することを特徴
とするデータ通信システムが提供される。According to the present invention, in order to solve the above-mentioned problems, (1) data communication for performing data communication between a first device and a second device using a session key; In the system, a current session key is generated only on the first device side using data read from the second device, and the second device and the second device are generated based on the generated current session key. A first means for communicating;
At the end of the communication by the means, the next session key is generated only on the first device side with variable data different from the data read from the second device, and the variable data and the generated next session are generated. Key to the second
And a second means for setting in the device.
【0011】また、本発明によると、上記課題を解決す
るために、 (2) 第1の装置と第2の装置との間でセッションキ
ーを用いてデータの通信を行うデータ通信システムにお
いて、前記第2の装置より読み出したデータを使用して
今回のセッションキーを前記第1の装置側のみで生成す
ると共に、この生成された今回のセッションキーに基づ
いて暗号化されたメッセージ及びメッセージ認証コード
を前記第2の装置に伝送する第1の手段と、この第1の
手段による通信の終了時に、前記第2の装置より読み出
したデータとは異なる可変データで次回のセッションキ
ーを前記第1の装置側のみで生成すると共に、この可変
データと生成された次回のセッションキーを前記第2の
装置に設定する第2の手段と、を具備することを特徴と
するデータ通信システムが提供される。According to the present invention, there is provided a data communication system for performing data communication between a first device and a second device by using a session key. Using the data read from the second device, a current session key is generated only on the first device side, and a message and a message authentication code encrypted based on the generated current session key are generated. First means for transmitting to the second device, and, at the end of communication by the first means, the next session key with variable data different from data read from the second device. And a second means for setting the variable data and the generated next session key in the second device. Data communication system is provided.
【0012】また、本発明によると、上記課題を解決す
るために、 (3) 第1の装置と第2の装置との間でセッションキ
ーを用いてデータの通信を行うデータ通信システムにお
いて、前記第2の装置より読み出したデータを使用して
今回のセッションキーを前記第1の装置側のみで生成す
ると共に、この生成された今回のセッションキーに基づ
いて暗号化されたメッセージ及びメッセージ認証コード
を前記第2の装置に伝送する第1の手段と、前記第2の
装置側で自身が所有している初期のセッションキーに基
いて、前記第1の手段による暗号化メッセージ認証コー
ドの確認を行うと共に、前記暗号化メッセージを復元し
てメッセージを得る第2の手段と、この第1及び第2の
手段による通信の終了時に、前記第2の装置より読み出
したデータとは異なる可変データで次回のセッションキ
ーを前記第1の装置側のみで生成すると共に、この可変
データと生成された次回のセッションキーを前記第2の
装置に設定する第3の手段と、を具備することを特徴と
するデータ通信システムが提供される。According to the present invention, there is provided a data communication system for performing data communication between a first device and a second device using a session key. Using the data read from the second device, a current session key is generated only on the first device side, and a message and a message authentication code encrypted based on the generated current session key are generated. The first means for transmitting to the second device and the second device confirming the encrypted message authentication code by the first means based on the initial session key owned by the second device. A second means for restoring the encrypted message to obtain the message, and a data read from the second device at the end of the communication by the first and second means. Third means for generating the next session key only in the first device using variable data different from the data, and setting the variable data and the generated next session key in the second device; There is provided a data communication system comprising:
【0013】また、本発明によると、上記課題を解決す
るために、 (4) 第1の装置と第2の装置との間でセッションキ
ーを用いてデータの通信を行うデータ通信システムにお
いて、前記第2の装置より読み出したデータを使用して
今回のセッションキーを前記第1の装置側のみで生成す
ると共に、この生成された今回のセッションキーに基づ
いて前記第2の装置と通信する第1の手段と、この第1
の手段による通信の終了時に、前記第2の装置より読み
出したデータとは異なる可変データで次回のセッション
キーを前記第1の装置側のみで生成すると共に、この可
変データと生成された次回のセッションキーを生成され
た次回のセッションキーに基づいて暗号化された次回の
セッションキー及びメッセージ認証コードを前記第2の
装置に伝送する第2の手段と、を具備することを特徴と
するデータ通信システムが提供される。According to the present invention, there is provided a data communication system for performing data communication between a first device and a second device using a session key. A first session key is generated only on the first device side using the data read from the second device, and a first session key communicating with the second device is generated based on the generated current session key. Means and the first
At the end of the communication by the means, the next session key is generated only on the first device side with variable data different from the data read from the second device, and the variable data and the generated next session are generated. A second means for transmitting to the second device a next session key and a message authentication code encrypted based on the next session key for which the key has been generated. Is provided.
【0014】また、本発明によると、上記課題を解決す
るために、 (5) 第1の装置と第2の装置との間でセッションキ
ーを用いてデータの通信を行うデータ通信システムにお
いて、前記第2の装置より読み出したデータを使用して
今回のセッションキーを前記第1の装置側のみで生成す
ると共に、この生成された今回のセッションキーに基づ
いて前記第2の装置と通信する第1の手段と、この第1
の手段による通信の終了時に、前記第2の装置より読み
出したデータとは異なる可変データで次回のセッション
キーを前記第1の装置側のみで生成すると共に、この可
変データと生成された次回のセッションキーを生成され
た次回のセッションキーに基づいて暗号化された次回の
セッションキー及びメッセージ認証コードを前記第2の
装置に伝送する第2の手段と、前記第2の装置側で自身
が所有している初期のセッションキーに基いて、前記第
2の手段による暗号化された次回のセッションキーを復
元して次回のセッションキーを得る第3の手段と、を具
備することを特徴とするデータ通信システムが提供され
る。According to the present invention, there is provided a data communication system for communicating data between a first device and a second device using a session key. A first session key is generated only on the first device side using the data read from the second device, and a first session key communicating with the second device is generated based on the generated current session key. Means and the first
At the end of the communication by the means, the next session key is generated only on the first device side with variable data different from the data read from the second device, and the variable data and the generated next session are generated. Second means for transmitting the next session key and the message authentication code encrypted based on the next session key for which the key has been generated, to the second device; A third means for restoring the next session key encrypted by the second means on the basis of the initial session key being obtained to obtain a next session key. A system is provided.
【0015】また、本発明によると、上記課題を解決す
るために、 (6) 第1の装置と第2の装置との間でセッションキ
ーを用いてデータの通信を行うデータ通信システムにお
いて、前記第2の装置より読み出したデータを使用して
今回のセッションキーを前記第1の装置側のみで生成す
ると共に、この生成された今回のセッションキーに基づ
いて暗号化されたメッセージ及びメッセージ認証コード
を前記第2の装置に伝送する第1の手段と、前記第2の
装置側で自身が所有している初期のセッションキーに基
いて、前記第1の手段による前記暗号化メッセージ認証
コードの確認を行うと共に、前記暗号化メッセージを復
元してメッセージを得る第2の手段と、この第1及び第
2の手段による通信の終了時に、前記第2の装置より読
み出したデータとは異なる可変データで次回のセッショ
ンキーを前記第1の装置側のみで生成すると共に、この
可変データと生成された次回のセッションキーを生成さ
れた次回のセッションキーに基づいて暗号化された次回
のセッションキー及びメッセージ認証コードを前記第2
の装置に伝送する第3の手段と、前記第2の装置側で自
身が所有している初期のセッションキーに基いて、前記
第3の手段による暗号化された次回のセッションキーを
復元して次回のセッションキーを得る第4の手段と、を
具備することを特徴とするデータ通信システムが提供さ
れる。According to the present invention, there is provided a data communication system for performing data communication between a first device and a second device using a session key. Using the data read from the second device, a current session key is generated only on the first device side, and a message and a message authentication code encrypted based on the generated current session key are generated. The first means for transmitting to the second device and the confirmation of the encrypted message authentication code by the first means based on the initial session key owned by the second device. And second means for restoring the encrypted message to obtain a message, and reading from the second device at the end of communication by the first and second means. The next session key is generated only on the first device side with variable data different from the data, and the variable data and the generated next session key are encrypted based on the generated next session key. The next session key and message authentication code are stored in the second
The third means for transmitting to the second device and the initial session key owned by the second device itself to restore the next session key encrypted by the third means. And a fourth means for obtaining a next session key.
【0016】また、本発明によると、上記課題を解決す
るために、 (7) 第1の装置と第2の装置との間でセッションキ
ーを用いてデータの通信を行うデータ通信システムにお
いて、前記第2の装置より読み出したデータを使用して
今回のセッションキーを前記第1の装置側のみで生成す
ると共に、この生成された今回のセッションキーに基づ
いて前記第2の装置と通信する第1のステップと、この
第1のステップによる通信の終了時に、前記第2の装置
より読み出したデータとは異なる可変データで次回のセ
ッションキーを前記第1の装置側のみで生成すると共
に、この可変データと生成された次回のセッションキー
を前記第2の装置に設定する第2のステップと、を具備
することを特徴とするデータ通信システムの制御方法が
提供される。According to the present invention, there is provided a data communication system for performing data communication between a first device and a second device by using a session key. A first session key is generated only on the first device side using the data read from the second device, and a first session key communicating with the second device is generated based on the generated current session key. And when the communication in the first step is completed, the next session key is generated only by the first device using variable data different from the data read from the second device, and the variable data And a second step of setting the generated next session key in the second device. .
【0017】また、本発明によると、上記課題を解決す
るために、 (8) 第1の装置と第2の装置との間でセッションキ
ーを用いてデータの通信を行うデータ通信システムにお
いて、前記第2の装置より読み出したデータを使用して
今回のセッションキーを前記第1の装置側のみで生成す
ると共に、この生成された今回のセッションキーに基づ
いて暗号化されたメッセージ及びメッセージ認証コード
を前記第2の装置に伝送する第1のステップと、この第
1のステップによる通信の終了時に、前記第2の装置よ
り読み出したデータとは異なる可変データで次回のセッ
ションキーを前記第1の装置側のみで生成すると共に、
この可変データと生成された次回のセッションキーを前
記第2の装置に設定する第2のステップと、を具備する
ことを特徴とするデータ通信システムの制御方法が提供
される。According to the present invention, there is provided a data communication system for performing data communication between a first device and a second device using a session key. Using the data read from the second device, a current session key is generated only on the first device side, and a message and a message authentication code encrypted based on the generated current session key are generated. A first step of transmitting to the second device, and, at the end of the communication in the first step, the next session key with variable data different from the data read from the second device. Side only,
And a second step of setting the variable data and the generated next session key in the second device.
【0018】また、本発明によると、上記課題を解決す
るために、 (9) 第1の装置と第2の装置との間でセッションキ
ーを用いてデータの通信を行うデータ通信システムにお
いて、前記第2の装置より読み出したデータを使用して
今回のセッションキーを前記第1の装置側のみで生成す
ると共に、この生成された今回のセッションキーに基づ
いて暗号化されたメッセージ及びメッセージ認証コード
を前記第2の装置に伝送する第1のステップと、前記第
2の装置側で自身が所有している初期のセッションキー
に基いて、前記第1のステップにより暗号化メッセージ
認証コードの確認を行うと共に、前記暗号化メッセージ
を復元してメッセージを得る第2のステップと、この第
1及び第2のステップによる通信の終了時に、前記第2
の装置より読み出したデータとは異なる可変データで次
回のセッションキーを前記第1の装置側のみで生成する
と共に、この可変データと生成された次回のセッション
キーを前記第2の装置に設定する第3のステップと、を
具備することを特徴とするデータ通信システムの制御方
法が提供される。According to the present invention, there is provided a data communication system for performing data communication between a first device and a second device using a session key. Using the data read from the second device, a current session key is generated only on the first device side, and a message and a message authentication code encrypted based on the generated current session key are generated. The first step of transmitting to the second device and the first device confirming the encrypted message authentication code based on the initial session key owned by the second device. And a second step of restoring the encrypted message to obtain a message, and at the end of the communication in the first and second steps,
A next session key is generated only on the first device side with variable data different from data read from the device, and the variable data and the generated next session key are set in the second device. 3. A method for controlling a data communication system, comprising the steps of:
【0019】また、本発明によると、上記課題を解決す
るために、 (10) 第1の装置と第2の装置との間でセッション
キーを用いてデータの通信を行うデータ通信システムに
おいて、前記第2の装置より読み出したデータを使用し
て今回のセッションキーを前記第1の装置側のみで生成
すると共に、この生成された今回のセッションキーに基
づいて前記第2の装置と通信する第1のステップと、こ
の第1のステップによる通信の終了時に、前記第2の装
置より読み出したデータとは異なる可変データで次回の
セッションキーを前記第1の装置側のみで生成すると共
に、この可変データと生成された次回のセッションキー
を生成された次回のセッションキーに基づいて暗号化さ
れた次回のセッションキー及びメッセージ認証コードを
前記第2の装置に伝送する第2のステップと、を具備す
ることを特徴とするデータ通信システムの制御方法が提
供される。According to the present invention, there is provided a data communication system for performing data communication between a first device and a second device using a session key. A first session key is generated only on the first device side using the data read from the second device, and a first session key communicating with the second device is generated based on the generated current session key. And when the communication in the first step is completed, the next session key is generated only by the first device using variable data different from the data read from the second device, and the variable data The next session key generated and the next session key encrypted based on the generated next session key and the message authentication code are transmitted to the first The control method of a data communication system, characterized by comprising a second step, the to be transmitted to the apparatus is provided.
【0020】また、本発明によると、上記課題を解決す
るために、 (11) 第1の装置と第2の装置との間でセッション
キーを用いてデータの通信を行うデータ通信システムに
おいて、前記第2の装置より読み出したデータを使用し
て今回のセッションキーを前記第1の装置側のみで生成
すると共に、この生成された今回のセッションキーに基
づいて前記第2の装置と通信する第1のステップと、こ
の第1のステップによる通信の終了時に、前記第2の装
置より読み出したデータとは異なる可変データで次回の
セッションキーを前記第1の装置側のみで生成すると共
に、この可変データと生成された次回のセッションキー
を生成された次回のセッションキーに基づいて暗号化さ
れた次回のセッションキー及びメッセージ認証コードを
前記第2の装置に伝送する第2のステップと、前記第2
の装置側で自身が所有している初期のセッションキーに
基いて、前記第2の手段により暗号化された次回のセッ
ションキーを復元して次回のセッションキーを得る第3
のステップと、を具備することを特徴とするデータ通信
システムの制御方法が提供される。According to the present invention, there is provided a data communication system for performing data communication between a first device and a second device using a session key. A first session key is generated only on the first device side using the data read from the second device, and a first session key communicating with the second device is generated based on the generated current session key. And when the communication in the first step is completed, the next session key is generated only by the first device using variable data different from the data read from the second device, and the variable data The next session key generated and the next session key encrypted based on the generated next session key and the message authentication code are transmitted to the first A second step of transmitting to the device, the second
The third device obtains the next session key by restoring the next session key encrypted by the second means based on the initial session key owned by the device itself.
And a control method for a data communication system, comprising the steps of:
【0021】また、本発明によると、上記課題を解決す
るために、 (12) 第1の装置と第2の装置との間でセッション
キーを用いてデータの通信を行うデータ通信システムに
おいて、前記第2の装置より読み出したデータを使用し
て今回のセッションキーを前記第1の装置側のみで生成
すると共に、この生成された今回のセッションキーに基
づいて暗号化されたメッセージ及びメッセージ認証コー
ドを前記第2の装置に伝送する第1のステップと、前記
第2の装置側で自身が所有している初期のセッションキ
ーに基いて、前記第1の手段による前記暗号化メッセー
ジ認証コードの確認を行うと共に、前記暗号化メッセー
ジを復元してメッセージを得る第2のステップと、この
第1及び第2の手段による通信の終了時に、前記第2の
装置より読み出したデータとは異なる可変データで次回
のセッションキーを前記第1の装置側のみで生成すると
共に、この可変データと生成された次回のセッションキ
ーを生成された次回のセッションキーに基づいて暗号化
された次回のセッションキー及びメッセージ認証コード
を前記第2の装置に伝送する第3のステップと、前記第
2の装置側で自身が所有している初期のセッションキー
に基いて、前記第3のステップにより暗号化された次回
のセッションキーを復元して次回のセッションキーを得
る第4のステップと、を具備することを特徴とするデー
タ通信システムの制御方法が提供される。According to the present invention, there is provided a data communication system for performing data communication between a first device and a second device by using a session key. Using the data read from the second device, a current session key is generated only on the first device side, and a message and a message authentication code encrypted based on the generated current session key are generated. A first step of transmitting to the second device, and confirming the encrypted message authentication code by the first means based on an initial session key owned by the second device. Performing the second step of restoring the encrypted message to obtain a message, and, upon completion of the communication by the first and second means, A next session key is generated only on the first device side with variable data different from the read data, and the variable data and the generated next session key are encrypted based on the generated next session key. Transmitting the next session key and the message authentication code to the second device, and the third device based on the initial session key owned by the second device. And a fourth step of restoring the next session key encrypted by the step to obtain the next session key.
【0022】[0022]
【発明の実施の形態】まず、本発明によるデータ通信シ
ステムが適用されるセッションキーを用いるデータ通信
システムであって、例えば、ホスト装置とターミナルと
ICカードとからなるシステムに適用した例について図
面を参照して詳細に説明する。DETAILED DESCRIPTION OF THE PREFERRED EMBODIMENTS First, a data communication system using a session key to which a data communication system according to the present invention is applied, for example, an example applied to a system including a host device, a terminal, and an IC card will be described with reference to the drawings. This will be described in detail with reference to FIG.
【0023】図1は、本システムの概要を説明するため
のブロック図である。すなわち、図1において、ホスト
装置2は、ホスト装置2を構成する各要素の動作を制御
するためのCPU201と、各種の情報を記憶するため
の不揮発性のメモリ21と、ターミナル3との通信を行
なう通信インタフェィス203と、利用者がデータ、命
令等を入力するための、キーボード204と、演算結果
や通信されたデータ等を表示するための、例えば、CR
Tからなるディスプレイ205と、送信されるデータの
暗号化を行なう暗号化モジュール(以下、暗号部と称す
る)22と、受信されるデータの復号化を行う復号化モ
ジュール(以下、複合部と称する)23とからなる。FIG. 1 is a block diagram for explaining the outline of the present system. That is, in FIG. 1, the host device 2 communicates with the CPU 3 for controlling the operation of each element constituting the host device 2, the non-volatile memory 21 for storing various information, and the terminal 3. A communication interface 203 to be performed, a keyboard 204 for a user to input data, instructions, and the like, and a CR for displaying calculation results, communicated data, and the like.
A display 205 made of T, an encryption module (hereinafter, referred to as an encryption unit) 22 for encrypting transmitted data, and a decryption module (hereinafter, referred to as a composite unit) for decrypting received data. 23.
【0024】また、ターミナル3は、ターミナル3を構
成する各要素の動作を制御するためのCPU301と、
各種の情報を記憶するためのメモリ302と、ホスト装
置2との通信を行う通信インタフェィス303と、IC
カード1,4に対してデータの読取り及び書込みを行う
リーダライタ304とからなる。The terminal 3 has a CPU 301 for controlling the operation of each element constituting the terminal 3,
A memory 302 for storing various information; a communication interface 303 for communicating with the host device 2;
A reader / writer 304 for reading and writing data from and to the cards 1 and 4 is provided.
【0025】また、ICカード1,4は、ICカードを
構成する各要素の動作を制御するためのCPU101,
401と、各種の情報を記憶するための不揮発性のメモ
リ11,14と、ターミナル3のリーダライタ304と
電気的に接続するためのコンタクト部103,403
と、送信されるデータの暗号化を行う暗号部14,44
と、受信されるデータの復号化を行う復号部12,42
とからなる。The IC cards 1 and 4 include a CPU 101 for controlling the operation of each element constituting the IC card.
401, nonvolatile memories 11 and 14 for storing various kinds of information, and contact portions 103 and 403 for electrically connecting to the reader / writer 304 of the terminal 3.
And encryption units 14 and 44 for encrypting transmitted data
And decoding units 12 and 42 for decoding received data
Consists of
【0026】次に、上述した構成において、セッション
キーを用いるデータ通信システムの概要の理解を早める
ために、前述した従来の処理の流れについて図2を用い
て説明する。Next, in order to speed up the understanding of the outline of a data communication system using a session key in the above-described configuration, the above-described conventional processing flow will be described with reference to FIG.
【0027】すなわち、図2は、ICカード1のメモリ
11中に予め記憶されていたデータをホスト装置2で読
出し、このデータをホスト装置2で更新し、更新された
データをICカード1に対して送信することによって、
ICカード1のメモリ11中のデータを更新する従来の
処理の流れについて示している。That is, FIG. 2 shows that the data stored in advance in the memory 11 of the IC card 1 is read by the host device 2, the data is updated by the host device 2, and the updated data is transmitted to the IC card 1. By sending
The flow of a conventional process for updating data in the memory 11 of the IC card 1 is shown.
【0028】まず、このシステムでは、伝送セッション
キーとして×××を用いることが予め予定されている。
図2において、ICカード1がホスト装置2と通信を行
なうためにターミナル3のリーダライタ304に挿入さ
れ、両者間の交信が可能となる。First, in this system, it is previously planned to use "xxx" as a transmission session key.
In FIG. 2, an IC card 1 is inserted into a reader / writer 304 of a terminal 3 to communicate with a host device 2, and communication between the two becomes possible.
【0029】ICカード1およびホスト装置2には、そ
れぞれ、不揮発性メモリ11,21が設けられており、
これらの不揮発性メモリ11,21には、初期の段階、
例えば、工場出荷時、あるいはICカードがユーザに発
行される段階で、所定の伝送セッションキー×××がそ
れぞれ記憶される。The IC card 1 and the host device 2 are provided with nonvolatile memories 11 and 21, respectively.
These nonvolatile memories 11 and 21 have an initial stage,
For example, at the time of factory shipment or at the stage when an IC card is issued to a user, a predetermined transmission session key xxx is stored.
【0030】同様に、所定の伝送セッションキー×××
が他のICカード4の不揮発性メモリ41にも記憶され
ている。ICカード1がターミナル3を介してホスト装
置2と交信可能となると、ホスト装置2内に設けられた
図示しない乱数発生器から発生された第1のセッション
キ−key1が、伝送セッションキー×××を暗号キー
として暗号部22によって暗号化セッションキ−key
1′として暗号化される。Similarly, a predetermined transmission session key xxxx
Are also stored in the nonvolatile memory 41 of the other IC card 4. When the IC card 1 can communicate with the host device 2 via the terminal 3, a first session key 1 generated from a random number generator (not shown) provided in the host device 2 transmits a transmission session key xxx. Is used as an encryption key by the encryption unit 22 to encrypt the session key.
It is encrypted as 1 '.
【0031】この暗号化セッションキ−key1′は、
ターミナル3を介してICカード1へ伝送され、その復
号部12でメモリ11に予め記憶されている伝送セッシ
ョンキー×××を用いて復号されることにより、第1の
セッションキ−key1が取り出される。The encrypted session key 1 ′ is
The first session key 1 is transmitted to the IC card 1 via the terminal 3 and decrypted by the decryption unit 12 using the transmission session key xxx stored in the memory 11 in advance. .
【0032】この動作の後、メモリ11に記憶されてい
た伝送セッションキー×××は、第1のセッションキ−
key1に書き替えられる。ICカード1を用いてトラ
ンザクションを行う場合には、この段階でICカード1
内に記憶されているデータM1がカードIDと共に読み
出されてホスト装置2へ伝送される。After this operation, the transmission session key xxx stored in the memory 11 is replaced with the first session key.
It is rewritten to key1. When performing a transaction using the IC card 1, at this stage the IC card 1
The data M1 stored therein is read out together with the card ID and transmitted to the host device 2.
【0033】このデータM1とカードIDは、メモリ1
1に記憶されている第1のセッションキーkey1を暗
号キーとして用いて暗号部14で暗号化されることによ
り、暗号化データ(M1+ID)′がホス卜装置2へ伝
送される。The data M1 and the card ID are stored in the memory 1
The encrypted data (M1 + ID) 'is transmitted to the host device 2 by being encrypted by the encryption unit 14 using the first session key key1 stored in the storage device 1 as an encryption key.
【0034】このようにICカード1では、ホスト装置
2から受け取った第1のセッションキ−key1を用い
て暗号化したデータ(M1+ID)′をホス卜装置2へ
伝送するので、伝送の途中で第3者に暗号化データが受
信されても、第1のセッションキ−key1を持たない
第3者では復号することができない。As described above, in the IC card 1, the data (M1 + ID) 'encrypted by using the first session key 1 received from the host device 2 is transmitted to the host device 2, so that the data is transmitted in the middle of the transmission. Even if the encrypted data is received by three parties, it cannot be decrypted by a third party who does not have the first session key 1.
【0035】そして、この暗号化データ(M1+I
D)′は、ホスト装置2内の復号部23で復号されるこ
とにより、データM1およびカードIDが取り出され
る。このカードIDは、ホスト装置2内で予め登録され
たIDと比較されることにより、カード1の正当性が確
認される。Then, the encrypted data (M1 + I
D) ′ is decrypted by the decryption unit 23 in the host device 2 to extract the data M1 and the card ID. The card ID is compared with an ID registered in advance in the host device 2 to confirm the validity of the card 1.
【0036】カード1が正当なものと確認できたとき
は、データM1は、例えば、ターミナル3から入力され
たトランザクションデータを用いて演算されることによ
り、更新データM2が算出される。When the card 1 is confirmed to be valid, the data M1 is calculated using, for example, the transaction data input from the terminal 3, so that the updated data M2 is calculated.
【0037】以上でセッション1の動作が終了する。続
いて、セッション2の動作が開始される。セッション2
では、ホスト装置2内に設けられた図示しない乱数発生
器から発生された第2のセッションキ−key2が、第
1のセッションキ−key1を暗号キーとして用いて暗
号部22で暗号化されることにより、暗号化セッション
キ−key2′がICカード1へ伝送される。Thus, the operation of session 1 is completed. Subsequently, the operation of session 2 is started. Session 2
Then, the second session key-key 2 generated from the random number generator (not shown) provided in the host device 2 is encrypted by the encryption unit 22 using the first session key-key 1 as an encryption key. Thus, the encrypted session key 2 'is transmitted to the IC card 1.
【0038】ICカード1では、第1のセッションキ−
key1を復号キーとして用いて復号部12で前記暗号
化セッションキーkey2′を復号して、第2セッショ
ンキ−key2が取り出される。In the IC card 1, the first session key
Using the key1 as a decryption key, the decryption unit 12 decrypts the encrypted session key key2 ', and a second session key2 is extracted.
【0039】この動作の後、メモリ11に記憶されてい
た第1のセッションキ−key1は、第2のセッション
キ−key2に書き替えられる。次に、ホスト装置2で
更新されたデータM2が同じ第2のセッションキ−ke
y2を用いて暗号部22で暗号化されることにより、暗
号化更新データM2′がICカード1に送られ、第2の
セッションキ−key2を用いて復号部12で復号され
る。After this operation, the first session key 1 stored in the memory 11 is replaced with the second session key 2. Next, the data M2 updated by the host device 2 has the same second session key-ke.
The encrypted update data M2 'is transmitted to the IC card 1 by being encrypted by the encryption unit 22 using y2, and is decrypted by the decryption unit 12 using the second session key 2.
【0040】ICカード1では更新データM2が不揮発
性メモリ11に記憶される。このようにしてセッション
2の動作が終了する。以上のようにして、ICカード1
のメモリ11中に記憶されているセッションキーは、次
々と書き替えられる。In the IC card 1, the update data M2 is stored in the nonvolatile memory 11. Thus, the operation of the session 2 ends. As described above, the IC card 1
The session keys stored in the memory 11 are rewritten one after another.
【0041】そして、ICカード1において以降のセッ
ションが行われないときは、伝送セッションキー×××
がホスト装置2からICカード1に伝送されて処理が終
了する。When the subsequent session is not performed in the IC card 1, the transmission session key xxxx
Is transmitted from the host device 2 to the IC card 1, and the process ends.
【0042】ホスト装置2側でセッション終了が検知さ
れると、不揮発性メモリ21に記憶されたキー×××が
読み出され、第2のセッションキ−key2を暗号キー
として、暗号部22で暗号化伝送セッションキー××
×′として暗号化される。When the end of the session is detected on the host device 2 side, the key xxx stored in the nonvolatile memory 21 is read out, and the encryption is performed by the encryption unit 22 using the second session key 2 as the encryption key. Transmission session key xx
× ′.
【0043】この暗号化伝送セッションキー×××′
は、ICカード1の復号部12へ伝送されるが、この復
号はその直前のセッション2で用いられたセッションキ
ーkey2を保持しているICカード1のみが可能であ
る。This encrypted transmission session key xxxx '
Is transmitted to the decryption unit 12 of the IC card 1, but this decryption can be performed only by the IC card 1 holding the session key key2 used in the immediately preceding session 2.
【0044】復号された伝送セッションキー×××は、
次回のセッションに備えてメモリ11に記憶される。次
に、同じホスト装置2と他のICカード4との間のセッ
ション3,4について説明する。The decrypted transmission session key xxxx is
It is stored in the memory 11 in preparation for the next session. Next, sessions 3 and 4 between the same host device 2 and another IC card 4 will be described.
【0045】前述したように、このICカード4の不揮
発性メモリ41にも同じ伝送セッションキー×××が予
め記憶されている。ICカード4がターミナル3へ挿入
されて、ホスト装置2とICカード4との間でデータ送
受が可能となると、ICカード1の場合と同様に、乱数
発生器から発生された第3のセッションキーkey3
が、キー×××で暗号化されてICカード4の復号部4
2へ伝送される。As described above, the same transmission session key xxx is stored in the nonvolatile memory 41 of the IC card 4 in advance. When the IC card 4 is inserted into the terminal 3 and data can be transmitted and received between the host device 2 and the IC card 4, the third session key generated from the random number generator is generated as in the case of the IC card 1. key3
Is encrypted with the key xxx, and the decryption unit 4 of the IC card 4
2 is transmitted.
【0046】復号された第3のセッションキーkey3
はメモリ43に記憶されて、データM3とカードIDと
の暗号化のための暗号キーとして用いられる。データM
3とカードIDとは、第3のセッションキーkey3に
よって暗号化されて暗号部44からホスト装置2へ送ら
れ、例えば、ターミナル3から入力されたトランザクシ
ョンデータによって更新され、更新デ一夕M4が生じ
る。The decrypted third session key key3
Are stored in the memory 43 and used as an encryption key for encrypting the data M3 and the card ID. Data M
3 and the card ID are encrypted by the third session key 3 and transmitted from the encryption unit 44 to the host device 2 and updated by, for example, transaction data input from the terminal 3 to generate an update message M4. .
【0047】この更新データM4は、第4のセッション
キ−key4を用いて暗号化され、ICカード4へ伝送
されて第4のセッションキ−キ−key4で復号されて
記憶される。The update data M4 is encrypted using the fourth session key 4, transmitted to the IC card 4, decrypted by the fourth session key 4, and stored.
【0048】最後に、伝送セッションキー×××が第4
のセッションキ−キ−key4で暗号化されてICカー
ド4へ送られ、メモリ41へ記憶される。しかるに、上
述したようなデータ通信システムによる処理の流れで
は、複数の装置間でデータを授受する場合、その安全性
及び正当性を保証するために、伝送メッセージの暗号化
及び認証コードを付加する際に、使用される暗号用のキ
ーデータをその都度異ならせることにより、不正者によ
る正当者への成りすましを防止する手法が採用されいる
が、この場合、データを授受する両装置がそのキーデー
タの変換手法を予め知っていなければならないので、成
りすましを防止するために、変換手法が変更された場合
には、両装置とも変更を加えなければならなくなり、シ
ステム全体としての負担が大きいという問題があった。Finally, the transmission session key xxx is the fourth
, And is sent to the IC card 4 and stored in the memory 41. However, in the processing flow of the data communication system as described above, when data is transmitted and received between a plurality of devices, in order to guarantee the security and legitimacy of the data, encryption of the transmission message and addition of an authentication code are required. In order to prevent impersonation by a fraudulent person, a method is adopted in which the key data used for encryption is made different each time. Since the conversion method must be known in advance, if the conversion method is changed in order to prevent spoofing, both devices must be changed, which poses a problem that the burden on the entire system is large. Was.
【0049】次に、このような問題を解消することがで
きるようにした本発明の要部について説明する。図3
は、本発明の要部を説明するために、セッションキーの
利用形態を示している。Next, the main part of the present invention which can solve such a problem will be described. FIG.
Shows a usage mode of a session key for explaining the main part of the present invention.
【0050】実施に先立って、ICカード1には、初回
に使用する初期セッションキーKey0が、例えば、I
Cカード発行時に設定されている。この初期セッション
キーKey0は、該初期セッションキーKey0と共に
ICカード1に設定されるトランザクションデータDT
0を、システムで管理されるマスタキーMKにより暗号
化した結果である。Prior to the implementation, the IC card 1 is provided with an initial session key Key0 to be used for the first time, for example, I
This is set when the C card is issued. The initial session key Key0 is the transaction data DT set in the IC card 1 together with the initial session key Key0.
This is the result of encrypting 0 with the master key MK managed by the system.
【0051】まず、外部装置としてのホスト装置2は、
ICカード1から、今回のセッションキーを生成するた
めのトランザクションデータDT0を読み出し、これに
基づいてホスト装置2自身が管理しているマスタキーM
Kを使用して初期セッションキーKey0を暗号部22
で生成する。First, the host device 2 as an external device is
The transaction data DT0 for generating the current session key is read from the IC card 1, and based on this, the master key M managed by the host device 2 itself is read.
Using K, the initial session key Key0 is encrypted by the encryption unit 22.
Generated by
【0052】これに基づき、外部装置としてのホスト装
置2側では、ICカード1との間で授受するメッセージ
の暗号化及びメッセージ認証コードMACの生成を暗号
部22で行う。On the basis of this, on the side of the host device 2 as an external device, the encryption unit 22 encrypts a message exchanged with the IC card 1 and generates a message authentication code MAC.
【0053】図3中、M−1は外部装置としてのホスト
装置2からICカード1に伝送されるメッセージであ
る。外部装置としてのホスト装置2は、まず、初期セッ
ションキーKey0によりメッセージM−1を暗号化し
てM−1′とすると共に、さらに、メッセージ認証コー
ドMACを暗号化してMAC(Key0)を生成し、こ
れをM−1′+MAC(Key0)としてICカード1
に伝送する。In FIG. 3, M-1 is a message transmitted from the host device 2 as an external device to the IC card 1. First, the host device 2 as an external device encrypts the message M-1 using the initial session key Key0 to obtain M-1 ', and further encrypts the message authentication code MAC to generate MAC (Key0). This is set as M-1 '+ MAC (Key 0) and the IC card 1
To be transmitted.
【0054】ICカード1は、このM−1′+MAC
(Key0)を受信すると、ICカード1自身が所有し
ている初期セッションキーKey0に基いて、復号部1
2によりメッセージ認証コードMACの確認を行い、そ
れが正当であると判断した場合には、暗号化メッセージ
M−1′を復元してメッセージM−1を得る。The IC card 1 uses the M-1 '+ MAC
When (Key0) is received, the decryption unit 1 based on the initial session key Key0 owned by the IC card 1 itself.
Then, the message authentication code MAC is confirmed in step 2, and if it is determined that the message authentication code MAC is valid, the encrypted message M-1 'is restored to obtain the message M-1.
【0055】さて、一通りの処理が完了すると、次に、
外部装置としてのホスト装置2は、トランザクションデ
ータDT0に代わる新規のデータDT1を生成し、これ
をICカード1に書き込む。Now, when one kind of processing is completed,
The host device 2 as an external device generates new data DT1 in place of the transaction data DT0, and writes this to the IC card 1.
【0056】図3中では、この新規のデータDT1を暗
号化せずに、ICカード1に伝送しているが、例えば、
初期セッションキーKey0に基づくメッセージ認証コ
ードMACを付加して伝送するようにしてもよい。In FIG. 3, the new data DT1 is transmitted to the IC card 1 without being encrypted.
A message authentication code MAC based on the initial session key Key0 may be added and transmitted.
【0057】また、これに基づき、外部装置としてのホ
スト装置2は、次に使用するセッションキーKey1を
ホスト装置2自身が管理するマスタキーMKを使用して
暗号部22により生成し、これをICカード1に伝送す
る。On the basis of this, the host device 2 as an external device generates a session key Key1 to be used next by the encryption unit 22 using the master key MK managed by the host device 2 itself, and generates this by the IC card. Transmit to 1.
【0058】このとき、外部装置としてのホスト装置2
は、前述したと同様にして次に使用するセッションキー
Key1の暗号化及びメッセージ認証コードMACの付
加を行って、Key1′+MAC(Key0)としてI
Cカード1に伝送する。At this time, the host device 2 as an external device
Performs the encryption of the session key Key1 to be used next and the addition of the message authentication code MAC in the same manner as described above, and obtains I1 + MAC (Key0) as I
Transmit to C card 1.
【0059】ICカード1は、このKey1′+MAC
(Key0)を受信すると、初期セッションキーKey
0に基づいて、復号部12により次に使用するセッショ
ンキーKey1を復元し、初期セッションキーKey0
を次に使用するセッションキーKey1に書き換える。The IC card 1 uses this Key1 '+ MAC
When (Key0) is received, the initial session key Key is received.
0, the decryption unit 12 restores the next session key Key1 to be used, and restores the initial session key Key0.
Is rewritten to the session key Key1 to be used next.
【0060】これ以降、外部装置としてのホスト装置2
は、順次、トランザクションデータDTnに基づいて次
に使用するセッションキーKeynを暗号部22により
生成する。Thereafter, the host device 2 as an external device
Generates the session key Keyn to be used next by the encryption unit 22 based on the transaction data DTn.
【0061】そして、処理が終了すると、外部装置とし
てのホスト装置2は、トランザクションデータDTnに
代わる新規のデータDTn+1及び次に使用するセッシ
ョンキーKeyn+1をICカード1に設定する。When the processing is completed, the host device 2 as an external device sets new data DTn + 1 in place of the transaction data DTn and a session key Keyn + 1 to be used next in the IC card 1.
【0062】なお、ICカード1側では、トランザクシ
ョンデータDTnの正当性を外部装置としてのホスト装
置2が判断するために、DTnに対する認証コードをセ
ッションキーKeynに基づいて生成し、これを外部装
置としてのホスト装置2に出力するようにしてもよい。On the IC card 1 side, an authentication code for DTn is generated based on the session key Keyn so that the host device 2 as an external device determines the validity of the transaction data DTn. May be output to the host device 2.
【0063】なお、この例では、外部装置としてのホス
ト装置2が、可変データDTnに基づいて次に使用する
セッシヨンキーを生成しているが、ICカード1におけ
るカード固有データとの組み合わせにより生成するよう
にしてもよい。In this example, the host device 2 as an external device generates a session key to be used next based on the variable data DTn. However, the host device 2 generates the session key in combination with card-specific data in the IC card 1. It may be.
【0064】また、外部装置としてのホスト装置2と他
のICカード4との間のセッションキーを用いたデータ
通信についても、上述したと同様にして行われる。以上
のようにして、本発明の要部による処理の流れでは、外
部装置がICカードからのデータに基づいてセッション
キーを生成して以降の暗号化処理に使用すると共に、処
理が終了した場合には、次に使用するセッションキーを
前回と異なるデータに基いて生成し、これらをICカー
ドに設定するようにしている。Data communication between the host device 2 as an external device and another IC card 4 using a session key is performed in the same manner as described above. As described above, according to the processing flow of the main part of the present invention, the external device generates a session key based on the data from the IC card and uses it for the subsequent encryption processing, Generates a session key to be used next based on data different from the previous session key, and sets these in the IC card.
【0065】[0065]
【発明の効果】したがって、以上詳述したように、この
発明によれば、セッションキーを第1の装置のみで生成
してそれを第2の装置に通知するようにし、このときセ
ッションキーの生成には第2の装置より読み出したデー
タを使用すると共に、次のセッションキーを読み出しデ
ータとは異なるデータで生成し、このデータと共に新規
セッションキーを第2の装置に設定するようにすること
により、システム全体としての負担を軽減することがで
きるようにしたデータ通信システム及びその制御方法を
提供することが可能となる。Therefore, as described in detail above, according to the present invention, the session key is generated only by the first device and is notified to the second device. By using the data read from the second device, generating the next session key with data different from the read data, and setting a new session key in the second device together with this data. It is possible to provide a data communication system and a control method thereof that can reduce the burden on the entire system.
【図1】図1は、この発明によるデータ通信システム装
置が適用されるシステムの概要を説明するためのブロッ
ク図である。FIG. 1 is a block diagram for explaining an outline of a system to which a data communication system according to the present invention is applied;
【図2】図2は、図1のホスト装置とICカードとの卜
ランザクションに用いるシステムに適用した従来のセッ
ションキーの利用形態を示す図である。FIG. 2 is a diagram showing a conventional mode of using a session key applied to a system used for a transaction between a host device and an IC card in FIG. 1;
【図3】図3は、本発明の要部を説明するために、セッ
ションキーの利用形態を示す図である。FIG. 3 is a diagram illustrating a use mode of a session key for explaining a main part of the present invention.
1,4・・・ICカード、 2・・・ホスト装置、 3・・・ターミナル、 11,21,41・・・メモリ、 12,23・・・復号部、 14,22・・・暗号部。 1, 4: IC card, 2: host device, 3: terminal, 11, 21, 41: memory, 12, 23: decryption unit, 14, 22: encryption unit.
Claims (12)
ョンキーを用いてデータの通信を行うデータ通信システ
ムにおいて、 前記第2の装置より読み出したデータを使用して今回の
セッションキーを前記第1の装置側のみで生成すると共
に、この生成された今回のセッションキーに基づいて前
記第2の装置と通信する第1の手段と、 この第1の手段による通信の終了時に、前記第2の装置
より読み出したデータとは異なる可変データで次回のセ
ッションキーを前記第1の装置側のみで生成すると共
に、この可変データと生成された次回のセッションキー
を前記第2の装置に設定する第2の手段と、 を具備することを特徴とするデータ通信システム。1. A data communication system for performing data communication between a first device and a second device using a session key, wherein a current session key is generated by using data read from the second device. Is generated only on the first device side, and a first means for communicating with the second device based on the generated current session key; and at the end of the communication by the first means, The next session key is generated only by the first device using variable data different from the data read from the second device, and the variable data and the generated next session key are set in the second device. A data communication system, comprising:
ョンキーを用いてデータの通信を行うデータ通信システ
ムにおいて、 前記第2の装置より読み出したデータを使用して今回の
セッションキーを前記第1の装置側のみで生成すると共
に、この生成された今回のセッションキーに基づいて暗
号化されたメッセージ及びメッセージ認証コードを前記
第2の装置に伝送する第1の手段と、 この第1の手段による通信の終了時に、前記第2の装置
より読み出したデータとは異なる可変データで次回のセ
ッションキーを前記第1の装置側のみで生成すると共
に、この可変データと生成された次回のセッションキー
を前記第2の装置に設定する第2の手段と、 を具備することを特徴とするデータ通信システム。2. A data communication system for performing data communication between a first device and a second device using a session key, wherein a current session key is generated by using data read from the second device. Generating only on the first device side, and transmitting a message and a message authentication code encrypted based on the generated current session key to the second device; and At the end of the communication by the first means, the next session key is generated only by the first device with variable data different from the data read from the second device, and the variable data and the next generated key are generated. A second means for setting a session key in the second device.
ョンキーを用いてデータの通信を行うデータ通信システ
ムにおいて、 前記第2の装置より読み出したデータを使用して今回の
セッションキーを前記第1の装置側のみで生成すると共
に、この生成された今回のセッションキーに基づいて暗
号化されたメッセージ及びメッセージ認証コードを前記
第2の装置に伝送する第1の手段と、 前記第2の装置側で自身が所有している初期のセッショ
ンキーに基いて、前記第1の手段による暗号化メッセー
ジ認証コードの確認を行うと共に、前記暗号化メッセー
ジを復元してメッセージを得る第2の手段と、 この第1及び第2の手段による通信の終了時に、前記第
2の装置より読み出したデータとは異なる可変データで
次回のセッションキーを前記第1の装置側のみで生成す
ると共に、この可変データと生成された次回のセッショ
ンキーを前記第2の装置に設定する第3の手段と、 を具備することを特徴とするデータ通信システム。3. A data communication system for performing data communication between a first device and a second device using a session key, wherein a current session key is generated using data read from the second device. Generating only the first device side, and transmitting a message and a message authentication code encrypted based on the generated current session key to the second device; and The second device confirms the encrypted message authentication code by the first means on the basis of the initial session key owned by itself and restores the encrypted message to obtain a second message. Means for communicating the next session key with variable data different from the data read from the second device at the end of communication by the first and second means. And a third means for generating the variable data and the generated next session key in the second device while generating the variable data only on one device side.
ョンキーを用いてデータの通信を行うデータ通信システ
ムにおいて、 前記第2の装置より読み出したデータを使用して今回の
セッションキーを前記第1の装置側のみで生成すると共
に、この生成された今回のセッションキーに基づいて前
記第2の装置と通信する第1の手段と、 この第1の手段による通信の終了時に、前記第2の装置
より読み出したデータとは異なる可変データで次回のセ
ッションキーを前記第1の装置側のみで生成すると共
に、この可変データと生成された次回のセッションキー
を生成された次回のセッションキーに基づいて暗号化さ
れた次回のセッションキー及びメッセージ認証コードを
前記第2の装置に伝送する第2の手段と、 を具備することを特徴とするデータ通信システム。4. A data communication system for performing data communication between a first device and a second device using a session key, wherein a current session key is generated by using data read from the second device. Is generated only on the first device side, and a first means for communicating with the second device based on the generated current session key; and at the end of the communication by the first means, The next session key is generated only by the first device using variable data different from the data read from the second device, and the variable data and the generated next session key are generated by the next session key generated. And second means for transmitting a next session key and a message authentication code encrypted based on the second session key to the second device. Communications system.
ョンキーを用いてデータの通信を行うデータ通信システ
ムにおいて、 前記第2の装置より読み出したデータを使用して今回の
セッションキーを前記第1の装置側のみで生成すると共
に、この生成された今回のセッションキーに基づいて前
記第2の装置と通信する第1の手段と、 この第1の手段による通信の終了時に、前記第2の装置
より読み出したデータとは異なる可変データで次回のセ
ッションキーを前記第1の装置側のみで生成すると共
に、この可変データと生成された次回のセッションキー
を生成された次回のセッションキーに基づいて暗号化さ
れた次回のセッションキー及びメッセージ認証コードを
前記第2の装置に伝送する第2の手段と、 前記第2の装置側で自身が所有している初期のセッショ
ンキーに基いて、前記第2の手段による暗号化された次
回のセッションキーを復元して次回のセッションキーを
得る第3の手段と、 を具備することを特徴とするデータ通信システム。5. A data communication system for performing data communication between a first device and a second device using a session key, wherein a current session key is generated by using data read from the second device. Is generated only on the first device side, and a first means for communicating with the second device based on the generated current session key; and at the end of the communication by the first means, The next session key is generated only by the first device using variable data different from the data read from the second device, and the variable data and the generated next session key are generated by the next session key generated. Second means for transmitting the next session key and the message authentication code encrypted based on the second device to the second device; A third means for restoring the next session key encrypted by the second means on the basis of the initial session key to obtain a next session key. .
ョンキーを用いてデータの通信を行うデータ通信システ
ムにおいて、 前記第2の装置より読み出したデータを使用して今回の
セッションキーを前記第1の装置側のみで生成すると共
に、この生成された今回のセッションキーに基づいて暗
号化されたメッセージ及びメッセージ認証コードを前記
第2の装置に伝送する第1の手段と、 前記第2の装置側で自身が所有している初期のセッショ
ンキーに基いて、前記第1の手段による前記暗号化メッ
セージ認証コードの確認を行うと共に、前記暗号化メッ
セージを復元してメッセージを得る第2の手段と、 この第1及び第2の手段による通信の終了時に、前記第
2の装置より読み出したデータとは異なる可変データで
次回のセッションキーを前記第1の装置側のみで生成す
ると共に、この可変データと生成された次回のセッショ
ンキーを生成された次回のセッションキーに基づいて暗
号化された次回のセッションキー及びメッセージ認証コ
ードを前記第2の装置に伝送する第3の手段と、 前記第2の装置側で自身が所有している初期のセッショ
ンキーに基いて、前記第3の手段による暗号化された次
回のセッションキーを復元して次回のセッションキーを
得る第4の手段と、 を具備することを特徴とするデータ通信システム。6. A data communication system for performing data communication between a first device and a second device using a session key, wherein a current session key is generated using data read from the second device. Generating only the first device side, and transmitting a message and a message authentication code encrypted based on the generated current session key to the second device; and The second device confirms the encrypted message authentication code by the first means on the basis of the initial session key owned by itself and restores the encrypted message to obtain a second message. Means for ending the next session key with variable data different from the data read from the second device at the end of the communication by the first and second means. The first device only generates the next session key and the message authentication code encrypted based on the variable data and the generated next session key. A third means for transmitting to the second device, and a next session key encrypted by the third means, based on the initial session key owned by the second device. And a fourth means for obtaining a next session key.
ョンキーを用いてデータの通信を行うデータ通信システ
ムにおいて、 前記第2の装置より読み出したデータを使用して今回の
セッションキーを前記第1の装置側のみで生成すると共
に、この生成された今回のセッションキーに基づいて前
記第2の装置と通信する第1のステップと、 この第1のステップによる通信の終了時に、前記第2の
装置より読み出したデータとは異なる可変データで次回
のセッションキーを前記第1の装置側のみで生成すると
共に、この可変データと生成された次回のセッションキ
ーを前記第2の装置に設定する第2のステップと、 を具備することを特徴とするデータ通信システムの制御
方法。7. A data communication system for performing data communication between a first device and a second device using a session key, wherein a current session key is generated by using data read from the second device. Generating only on the first device side and communicating with the second device based on the generated current session key; and The next session key is generated only by the first device using variable data different from the data read from the second device, and the variable data and the generated next session key are set in the second device. A control method for a data communication system, comprising:
ョンキーを用いてデータの通信を行うデータ通信システ
ムにおいて、 前記第2の装置より読み出したデータを使用して今回の
セッションキーを前記第1の装置側のみで生成すると共
に、この生成された今回のセッションキーに基づいて暗
号化されたメッセージ及びメッセージ認証コードを前記
第2の装置に伝送する第1のステップと、 この第1のステップによる通信の終了時に、前記第2の
装置より読み出したデータとは異なる可変データで次回
のセッションキーを前記第1の装置側のみで生成すると
共に、この可変データと生成された次回のセッションキ
ーを前記第2の装置に設定する第2のステップと、 を具備することを特徴とするデータ通信システムの制御
方法。8. A data communication system for performing data communication between a first device and a second device using a session key, wherein a current session key is generated by using data read from the second device. Generating only the first device side and transmitting a message and a message authentication code encrypted based on the generated current session key to the second device; and At the end of the communication in step 1, the next session key is generated only on the first device side with variable data different from the data read from the second device, and the variable data and the next generated key are generated. A second step of setting a session key in the second device. A method for controlling a data communication system, comprising:
ョンキーを用いてデータの通信を行うデータ通信システ
ムにおいて、 前記第2の装置より読み出したデータを使用して今回の
セッションキーを前記第1の装置側のみで生成すると共
に、この生成された今回のセッションキーに基づいて暗
号化されたメッセージ及びメッセージ認証コードを前記
第2の装置に伝送する第1のステップと、 前記第2の装置側で自身が所有している初期のセッショ
ンキーに基いて、前記第1のステップにより暗号化メッ
セージ認証コードの確認を行うと共に、前記暗号化メッ
セージを復元してメッセージを得る第2のステップと、 この第1及び第2のステップによる通信の終了時に、前
記第2の装置より読み出したデータとは異なる可変デー
タで次回のセッションキーを前記第1の装置側のみで生
成すると共に、この可変データと生成された次回のセッ
ションキーを前記第2の装置に設定する第3のステップ
と、 を具備することを特徴とするデータ通信システムの制御
方法。9. A data communication system for performing data communication between a first device and a second device using a session key, wherein a current session key is generated using data read from the second device. Generating only on the first device side and transmitting a message and a message authentication code encrypted based on the generated current session key to the second device; and In the second step, based on the initial session key owned by the second apparatus, the first step checks the encrypted message authentication code and restores the encrypted message to obtain the second message. And at the end of the communication in the first and second steps, the next session with variable data different from the data read from the second device. And a third step of setting the variable data and the generated next session key in the second device while generating a session key only on the first device side. How to control the system.
ションキーを用いてデータの通信を行うデータ通信シス
テムにおいて、 前記第2の装置より読み出したデータを使用して今回の
セッションキーを前記第1の装置側のみで生成すると共
に、この生成された今回のセッションキーに基づいて前
記第2の装置と通信する第1のステップと、 この第1のステップによる通信の終了時に、前記第2の
装置より読み出したデータとは異なる可変データで次回
のセッションキーを前記第1の装置側のみで生成すると
共に、この可変データと生成された次回のセッションキ
ーを生成された次回のセッションキーに基づいて暗号化
された次回のセッションキー及びメッセージ認証コード
を前記第2の装置に伝送する第2のステップと、 を具備することを特徴とするデータ通信システムの制御
方法。10. A data communication system for performing data communication between a first device and a second device using a session key, wherein a current session key is generated using data read from the second device. Generating only on the first device side and communicating with the second device based on the generated current session key; and The next session key is generated only by the first device using variable data different from the data read from the second device, and the variable data and the generated next session key are generated by the next session key generated. Transmitting a next session key and a message authentication code encrypted based on the second step to the second device. A method for controlling a data communication system.
ションキーを用いてデータの通信を行うデータ通信シス
テムにおいて、 前記第2の装置より読み出したデータを使用して今回の
セッションキーを前記第1の装置側のみで生成すると共
に、この生成された今回のセッションキーに基づいて前
記第2の装置と通信する第1のステップと、 この第1のステップによる通信の終了時に、前記第2の
装置より読み出したデータとは異なる可変データで次回
のセッションキーを前記第1の装置側のみで生成すると
共に、この可変データと生成された次回のセッションキ
ーを生成された次回のセッションキーに基づいて暗号化
された次回のセッションキー及びメッセージ認証コード
を前記第2の装置に伝送する第2のステップと、 前記第2の装置側で自身が所有している初期のセッショ
ンキーに基いて、前記第2の手段により暗号化された次
回のセッションキーを復元して次回のセッションキーを
得る第3のステップと、 を具備することを特徴とするデータ通信システムの制御
方法。11. A data communication system for performing data communication between a first device and a second device using a session key, wherein a current session key is generated by using data read from the second device. Generating only on the first device side and communicating with the second device based on the generated current session key; and The next session key is generated only by the first device using variable data different from the data read from the second device, and the variable data and the generated next session key are generated by the next session key generated. Transmitting a next session key and a message authentication code encrypted based on the second device to the second device; and A third step of restoring the next session key encrypted by the second means to obtain the next session key based on the initial session key owned by the user. Control method for a data communication system.
ションキーを用いてデータの通信を行うデータ通信シス
テムにおいて、 前記第2の装置より読み出したデータを使用して今回の
セッションキーを前記第1の装置側のみで生成すると共
に、この生成された今回のセッションキーに基づいて暗
号化されたメッセージ及びメッセージ認証コードを前記
第2の装置に伝送する第1のステップと、 前記第2の装置側で自身が所有している初期のセッショ
ンキーに基いて、前記第1の手段による前記暗号化メッ
セージ認証コードの確認を行うと共に、前記暗号化メッ
セージを復元してメッセージを得る第2のステップと、 この第1及び第2の手段による通信の終了時に、前記第
2の装置より読み出したデータとは異なる可変データで
次回のセッションキーを前記第1の装置側のみで生成す
ると共に、この可変データと生成された次回のセッショ
ンキーを生成された次回のセッションキーに基づいて暗
号化された次回のセッションキー及びメッセージ認証コ
ードを前記第2の装置に伝送する第3のステップと、 前記第2の装置側で自身が所有している初期のセッショ
ンキーに基いて、前記第3のステップにより暗号化され
た次回のセッションキーを復元して次回のセッションキ
ーを得る第4のステップと、 を具備することを特徴とするデータ通信システムの制御
方法。12. A data communication system for performing data communication between a first device and a second device using a session key, wherein a current session key is generated by using data read from the second device. Generating only on the first device side and transmitting a message and a message authentication code encrypted based on the generated current session key to the second device; and The second device confirms the encrypted message authentication code by the first means on the basis of the initial session key owned by itself and restores the encrypted message to obtain a second message. And at the end of the communication by the first and second means, the next session with variable data different from the data read from the second device. And the next session key and the message authentication code encrypted based on the variable data and the generated next session key. A third step of transmitting to the second device, and restoring the next session key encrypted by the third step based on the initial session key owned by the second device. And a fourth step of obtaining a next session key.
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP10168792A JP2000004221A (en) | 1998-06-16 | 1998-06-16 | Data communication system and its controlling method |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP10168792A JP2000004221A (en) | 1998-06-16 | 1998-06-16 | Data communication system and its controlling method |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| JP2000004221A true JP2000004221A (en) | 2000-01-07 |
Family
ID=15874568
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP10168792A Pending JP2000004221A (en) | 1998-06-16 | 1998-06-16 | Data communication system and its controlling method |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JP2000004221A (en) |
Cited By (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2003001837A1 (en) * | 2001-06-22 | 2003-01-03 | Sumitomo Heavy Industries, Ltd. | Authentication apparatus and method for authenticating cellular telephone accessing information recording apparatus, network system, and computer program |
| JP2003204505A (en) * | 2001-12-28 | 2003-07-18 | Toshiba Corp | Digital broadcast recording and reproducing device |
| WO2012101721A1 (en) * | 2011-01-25 | 2012-08-02 | 三洋電機株式会社 | Communication device |
-
1998
- 1998-06-16 JP JP10168792A patent/JP2000004221A/en active Pending
Cited By (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2003001837A1 (en) * | 2001-06-22 | 2003-01-03 | Sumitomo Heavy Industries, Ltd. | Authentication apparatus and method for authenticating cellular telephone accessing information recording apparatus, network system, and computer program |
| JP2003009243A (en) * | 2001-06-22 | 2003-01-10 | Sumitomo Heavy Ind Ltd | Authenticating device and method, network system and computer program |
| JP4588927B2 (en) * | 2001-06-22 | 2010-12-01 | 住友重機械工業株式会社 | Authentication apparatus and method, network system, and computer program |
| JP2003204505A (en) * | 2001-12-28 | 2003-07-18 | Toshiba Corp | Digital broadcast recording and reproducing device |
| WO2012101721A1 (en) * | 2011-01-25 | 2012-08-02 | 三洋電機株式会社 | Communication device |
| JP2013225875A (en) * | 2011-01-25 | 2013-10-31 | Sanyo Electric Co Ltd | On-vehicle equipment |
| JP2013232952A (en) * | 2011-01-25 | 2013-11-14 | Sanyo Electric Co Ltd | In-vehicle device |
| JP5367917B2 (en) * | 2011-01-25 | 2013-12-11 | 三洋電機株式会社 | OBE |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| JP3114991B2 (en) | Data communication system | |
| EP1500226B1 (en) | System and method for storage and retrieval of a cryptographic secret from a plurality of network enabled clients | |
| CA1292790C (en) | Controlled use of cryptographic keys via generating station establishedcontrol values | |
| USRE36946E (en) | Method and apparatus for privacy and authentication in wireless networks | |
| US5995624A (en) | Bilateral authentication and information encryption token system and method | |
| CN102546155B (en) | On-demand safe key generates method and system | |
| EP1277299B1 (en) | Method for securing communications between a terminal and an additional user equipment | |
| US6189098B1 (en) | Client/server protocol for proving authenticity | |
| CN101238677B (en) | Cryptographic authentication, and/or establishment of shared cryptographic keys, using a signing key encrypted with a non-one-time-pad encryption, including (but not limited to) techniques with improved safety | |
| US8223970B2 (en) | Message deciphering method, system and article | |
| US8209753B2 (en) | Universal secure messaging for remote security tokens | |
| CN110519046B (en) | Quantum communication service station key negotiation method and system based on one-time asymmetric key pair and QKD | |
| CN110381055B (en) | RFID system privacy protection authentication protocol method in medical supply chain | |
| CN113114475B (en) | PUF identity authentication system and protocol based on bit self-checking | |
| CN110138548B (en) | Quantum communication service station key negotiation method and system based on asymmetric key pool pair and DH protocol | |
| JPS6370634A (en) | Cryptographic key sharing system | |
| JPH1032570A (en) | Electronic signature system | |
| CN113507372A (en) | Bidirectional authentication method for interface request | |
| CN110266483B (en) | Quantum communication service station key negotiation method, system and device based on asymmetric key pool pair and QKD | |
| KR100963417B1 (en) | RFID Security Apparatus for comprising Security Function and Method thereof | |
| JP2001111539A (en) | Cryptographic key generator and cryptographic key transmitting method | |
| JPH0231290A (en) | Ic card device | |
| JP2000004221A (en) | Data communication system and its controlling method | |
| JP4663315B2 (en) | Authentication system, authentication information delegation method and security device in the same system | |
| CN113014376B (en) | Method for safety authentication between user and server |